Перейти к содержанию

Trojan:win32/phonzy.a!ml


Рекомендуемые сообщения

Добрый вечер, напоролся на классный троян который не могу снести, антивирусы его при полном сканировании не обнаруживают, в безопасном режиме тоже мучался, этот троян не хочет уходить с моего ноутбука ни как. Он скачивался на рабочий стол в папку которой уже нет с момента как понял, что скачал вирусняк все же. В защите от вирусов и угроз по началу отображалось 2 угроза, затем одна, а теперь снова две по ходу всех махинаций, на данный момент мне показывает, что троян находится в несуществующей папке на рабочем столе. Пробовал по ходу всего этого скачать троян ремувер, скачать удалось, а открыть не дает в никакую.
Мне очень нужна помощь, сносить систему вообще не вариант. 
Обращаюсь впервые жизни на форум после того как видел это решение проблемы

На данный момент я на этапе сканирования в программе FRST с теми же галочками как и было указано в том решении проблемы по ссылке.
Прикрепил отчеты.
Далее я не делал так как помощник на том вопросе указал, что не нужно повторять, ибо это может крашнуть винду, так как то что он делал относилось конкретно к тому человеку у которого была эта проблема.

2.jpg

1.jpg

Addition.txt FRST.txt

Ссылка на комментарий
Поделиться на другие сайты

16 минут назад, Mark D. Pearlstone сказал:

 

16 минут назад, Mark D. Pearlstone сказал:

тип мне по новой что ли составить запрос...?

 

 

Изменено пользователем modger
Ссылка на комментарий
Поделиться на другие сайты

14 минут назад, modger сказал:

тип мне по новой что ли составить запрос...?

Прочтите правила создания запроса и выполните их. Новую тему создавать не нужно.

Ссылка на комментарий
Поделиться на другие сайты

Вам во втором сообщении темы дали ссылку. Прочтите внимательно инструкцию по ней и выполните, там конкретно написано, что нужно сделать и как., а не в гадалку играйте.

Ссылка на комментарий
Поделиться на другие сайты

+

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Ссылка на комментарий
Поделиться на другие сайты

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:
 

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %Sys32%\EM.EXE
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDELHFHCFBDHNDFPCINEBIJFCJPMPEC%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\FRAMEVIEWSDK\FRAMEVIEW.CSV
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
delref %SystemRoot%\UUS\%PROCESSOR_ARCHITECTURE%\WUAUENGCORE.DLL
delref %SystemDrive%\USERS\LEXAM\APPDATA\LOCAL\TEMP\HWINFO64A_187.SYS
delref %Sys32%\DRIVERS\WINSETUPMON.SYS
delref %SystemDrive%\PROGRA~3\NORTON\{0C55C~1\NORTON~1.EXE
delref %SystemDrive%\PROGRAM FILES\PROTON\VPN\PROTONVPN.LAUNCHER.EXE
delref %SystemDrive%\USERS\LEXAM\РАБОЧИЙ СТОЛ\плохой НА ПРОВЕРКУ\MSI HUINA\MSI AFTERBURNER\MSIAFTERBURNER.EXE
delref %SystemDrive%\PROJECT ZOMBOID\FREETP.ORG.URL
delref %SystemDrive%\USERS\LEXAM\РАБОЧИЙ СТОЛ\плохой НА ПРОВЕРКУ\MSI HUINA\MSI AFTERBURNER\UNINSTALL.EXE
delref %SystemDrive%\USERS\LEXAM\APPDATA\ROAMING\ZOOM\UNINSTALL\INSTALLER.EXE
delref %SystemDrive%\USERS\LEXAM\APPDATA\ROAMING\ZOOM\BIN\ZOOM.EXE
delref %SystemDrive%\PROGRAM FILES\ANYMP4 STUDIO\ANYMP4 VIDEO CONVERTER ULTIMATE\ANYMP4 VIDEO CONVERTER ULTIMATE.EXE
;-------------------------------------------------------------

restart

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату что с детектами происходит после скрипта.

Судя по журналу обнаружений Windef - детекты связаны с ломанными программами и крэками. попробуйте их спрятать в архивы, и понаблюдайте за windef, потерял он их след, или по прежнему будет выдавать обнаружение угроз.

Ссылка на комментарий
Поделиться на другие сайты

1 час назад, safety сказал:

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:
 


;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %Sys32%\EM.EXE
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDELHFHCFBDHNDFPCINEBIJFCJPMPEC%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\FRAMEVIEWSDK\FRAMEVIEW.CSV
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
delref %SystemRoot%\UUS\%PROCESSOR_ARCHITECTURE%\WUAUENGCORE.DLL
delref %SystemDrive%\USERS\LEXAM\APPDATA\LOCAL\TEMP\HWINFO64A_187.SYS
delref %Sys32%\DRIVERS\WINSETUPMON.SYS
delref %SystemDrive%\PROGRA~3\NORTON\{0C55C~1\NORTON~1.EXE
delref %SystemDrive%\PROGRAM FILES\PROTON\VPN\PROTONVPN.LAUNCHER.EXE
delref %SystemDrive%\USERS\LEXAM\РАБОЧИЙ СТОЛ\плохой НА ПРОВЕРКУ\MSI HUINA\MSI AFTERBURNER\MSIAFTERBURNER.EXE
delref %SystemDrive%\PROJECT ZOMBOID\FREETP.ORG.URL
delref %SystemDrive%\USERS\LEXAM\РАБОЧИЙ СТОЛ\плохой НА ПРОВЕРКУ\MSI HUINA\MSI AFTERBURNER\UNINSTALL.EXE
delref %SystemDrive%\USERS\LEXAM\APPDATA\ROAMING\ZOOM\UNINSTALL\INSTALLER.EXE
delref %SystemDrive%\USERS\LEXAM\APPDATA\ROAMING\ZOOM\BIN\ZOOM.EXE
delref %SystemDrive%\PROGRAM FILES\ANYMP4 STUDIO\ANYMP4 VIDEO CONVERTER ULTIMATE\ANYMP4 VIDEO CONVERTER ULTIMATE.EXE
;-------------------------------------------------------------

restart

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату что с детектами происходит после скрипта.

Судя по журналу обнаружений Windef - детекты связаны с ломанными программами и крэками. попробуйте их спрятать в архивы, и понаблюдайте за windef, потерял он их след, или по прежнему будет выдавать обнаружение угроз.

Я не очень понял куда добавить папку (Дата_времяlog.txt) по описанию после перезагрузки. 
 
 

image.png

2024-02-02_16-22-42_log.txt

просто я довольно глупый пк юзер по всей видимости 

 

Ссылка на комментарий
Поделиться на другие сайты

Цитировать сообщения консультанта не нужно, просто пишите свое сообщение в окне редактора. Судя по текущим угрозам - угрозы не актуальные.

 

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

На дату записи по угрозе обращайте внимание. В списке указываются угрозы, обнаруженные в течение определенного периода. Если сократить данный период до одного дня, т.е. актуальные на текущий день, то все предыдущие записи уже будут не актуальны.

 

Обновите данное ПО:

Notepad++ (64-bit x64) v.8.5.3 Внимание! Скачать обновления

FileZilla 3.65.0 v.3.65.0 Внимание! Скачать обновления

Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления

WinRAR 6.21 (64-bit) v.6.21.0 Внимание! Скачать обновления

Discord v.1.0.9010 Внимание! Скачать обновления
Discord Canary v.1.0.151 Внимание! Скачать обновления
Zoom v.5.15.2 (18096) Внимание! Скачать обновления

Loaris Trojan Remover 3.1.60 v.3.1.60 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция

 

 

 

 

Ссылка на комментарий
Поделиться на другие сайты

Так, ну я обратился с задачей снести троян который у меня находит защита винды. Увидел проблему такого же характера и четко пояснил, что мне нужно так же снести его. Так что мне делать дальше, чтобы снести его с моего пк. Если прочесть выше, я делал все возможное вручную, что мог сам сделать, так вот обращаюсь с помощью,  чтобы мне помогли как и в прикрепленном выше решении проблемы на форму 

 

за период как обратился троян как был, так и остался тем же самым 

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • aronone
      От aronone
      Здравствуйте, защитник виндовс нашел Trojan:Win32/Dorv.A , и еще PUABundler:Win32/uTorrent_BundleInstaller и PUADlManager:Win32/OfferCore , поместил в карантин и заблокировал, после проверил куррейтом и ничего не находит. Просьба помочь почистить пк. Вирус появился сразу после подключения к общему гостиничному вай фай, может быть это как то связанно
      cureit.zip CollectionLog-2024.11.30-15.34.zip
    • T23
      От T23
      Пж помогите решить проблему.

    • ZloyM
      От ZloyM
      Утром при входе обнаружилось, что файлы зашифрованы, имеется письмо с требованием денег.
      В журнале угроз Ransom:Win32/Sorikrypt и Trojan:Win32/Wacatac.H!ml - запушены утром пользователями, которые точно не могли это сделать.
      От интернета отключил. Если не отключать, то примерно раз в 10 минут пользователя выкидывает и при этом с флешки удаляются все файлы и на нее помещается копия письма с требованием денег.
      CureIt и KVRT нашли только RDPWrap.
      CollectionLog-2023.10.27-13.29.zip
    • Semz
      От Semz
      Здравствуйте, скачивал недавно autodesk inventor . Попытавшись установить его, у меня заругался windows defender. Когда нажимаю "Применить действия - Удалить" ничего не происходит и вирус никак не может удалиться. У меня Windows 11. В диспетчере задач нету никаких неизвестных процессов. Так же когда пытаюсь извлечь образ диска, не получается. Вентиляторы вроде не крутятся, но тут хз, так как я комп не перезапускал. Доктор веб ничего не обнаружил . Причём дефендер мне предлагает перезагрузить комп, но после нажатия перезагрузить(в окне дефендера, этого не происходит)
      Причём переодически мне дефендер уведомления присылает 
    • DNik
      От DNik
      Здравствуйте. После скачивания zip-файлов вдруг антивирус решил выдать мне предупреждение об трояне. Раньше качал AutoLogger и антивирус вёл себя нормально, не нарекался. Читая некоторые статьи понял, что нет смысла пробовать удалить файлы через системный антивирус (я всё равно попробовал) и троян остаётся нетронутым.
       

      CollectionLog-2023.11.10-21.13.zip
×
×
  • Создать...